El factor seguridad
Si las conexiones con el ASP van a ir por Internet, habrá que tener en cuenta estas siete cuestiones de seguridad.
- Autenticación. Cuando se quiere estar absolutamente seguro de que las sobremesas y los usuarios remotos son identificados correctamente, hay que olvidarse del simple uso de contraseñas. Conviene adoptar contraseñas de una sola vez y/o generadores de token, tales como SecurID. O utilizar una infraestructura de clave pública (PKI) y autoridades de certificación.
- Encriptación. La encriptación puede ser implementada como parte de la PKI. SSL (Secure Sockets Layer) es un enfoque razonablemente simple. Sin embargo, la localización del componente middleware es crítico, especialmente cuando se usa Internet como un medio de transporte.
- Acceso. En los sistemas heredados, los mecanismos de control de acceso sirven de intermediario para saber quién puede leer/escribir los datos. El ASP, junto al grupo de seguridad corporativa, debe asegurar que la política de la empresa se respeta a nivel global. El cliente debería ser capaz de añadir, eliminar y modificar con facilidad derechos de grupo y usuario.
- Acceso alternativo. ¿De cuántos accesos alternativos dispone el ASP para las tareas de mantenimiento, administración remota y acceso? Conviene examinar este aspecto y comprender sus implicaciones de la misma forma que si las aplicaciones y los datos residieran en la empresa.
- Compartición. Las conexiones físicas y lógicas de la troncal del ASP también pueden afectar a la seguridad. En este aspecto es necesario cerciorarse de hasta qué punto son dedicados los circuitos, troncales, servidores y conectividad con la empresa. Asimismo, hay que estar informados del grado de compartición de estos recursos con otros clientes.
- Seguridad de sistemas operativos. ¿Qué medidas de seguridad utilizan los sistemas operativos del ASP, por encima de los cuales operan las aplicaciones de la empresa? En los clusters NT hay que asegurarse que se instalan los últimos service packs. ¿Abarca la seguridad el middleware?
- Redundancia. Los contratos deben dejar muy claro los mecanismos de protección estándar utilizados. La redundancia de comunicaciones IP se convierte en un elemento cada vez más crítico a medida que se confía al cien por cien en Internet para realizar las operaciones. Hay que estar seguro de que se dispone de redundancia física y lógica.
